호라봇 악성코드

라틴 아메리카에서 스페인어를 사용하는 사용자는 Horabot으로 알려진 새로 발견된 봇넷 맬웨어의 표적이 되었습니다. 이 공격 캠페인은 적어도 2020년 11월부터 활동한 것으로 보입니다. 이 위협적인 프로그램은 공격자에게 피해자의 Outlook 사서함을 조작하고, 연락처에서 이메일 주소를 추출하고, 손상된 HTML 첨부 파일이 포함된 피싱 이메일을 모든 주소로 보낼 수 있는 권한을 부여합니다. 손상된 사서함.

이러한 기능 외에도 Horabot Malware는 Windows 기반 금융 트로이 목마와 스팸 도구를 배포합니다. 이러한 구성 요소는 민감한 온라인 뱅킹 자격 증명을 수집하고 Gmail, Outlook 및 Yahoo!와 같은 널리 사용되는 웹 메일 서비스를 손상시키도록 설계되었습니다. 이렇게 손상된 계정에 액세스할 수 있는 맬웨어 운영자는 다양한 수신자에게 스팸 이메일을 대량으로 퍼뜨릴 수 있습니다.

사이버 범죄자는 Horabot 맬웨어로 여러 산업을 표적으로 삼습니다.

사이버 보안 회사에 따르면 멕시코에서 Horabot 캠페인과 관련된 상당한 수의 감염이 감지되었습니다. 동시에 우루과이, 브라질, 베네수엘라, 아르헨티나, 과테말라, 파나마와 같은 국가에서는 확인된 피해자가 적었습니다. 이 캠페인을 담당하는 위협 행위자는 브라질에 기반을 둔 것으로 추정됩니다.

진행 중인 캠페인은 주로 회계, 건설 및 엔지니어링, 도매 유통 및 투자 부문에 관련된 사용자를 대상으로 합니다. 그러나 이 지역의 다른 산업도 이 위협의 영향을 받을 수 있다고 의심됩니다.

Horabot 악성코드는 다단계 공격 체인을 통해 전달됩니다.

공격 캠페인은 수신자가 HTML 첨부 파일을 열도록 유인하기 위해 세금 관련 주제를 사용하는 피싱 이메일로 시작됩니다. 이 첨부 파일에는 RAR 아카이브로 연결되는 링크가 포함되어 있습니다.

파일을 열면 원격 서버에서 기본 페이로드가 포함된 ZIP 파일을 검색하는 PowerShell 다운로더 스크립트가 실행됩니다. 또한 이 프로세스 중에 컴퓨터가 재부팅됩니다.

시스템 재시작은 뱅킹 트로이 목마 및 스팸 도구의 실행 지점 역할을 하여 위협 행위자가 데이터를 수집하고, 키 입력을 기록하고, 스크린샷을 캡처하고, 피해자의 연락처에 추가 피싱 이메일을 배포할 수 있도록 합니다.

캠페인에 사용된 뱅킹 트로이 목마는 Delphi 프로그래밍 언어로 코딩된 32비트 Windows DLL입니다. Mekotio 및 Casbaneiro와 같은 다른 브라질 맬웨어 계열과 유사성을 나타냅니다.

반면 Horabot은 Outlook용으로 설계된 피싱 봇넷 프로그램입니다. PowerShell로 작성되었으며 피해자의 사서함에서 발견된 모든 이메일 주소로 피싱 이메일을 보내 감염을 확산시키는 기능을 가지고 있습니다. 이 전술은 공격자가 피싱 인프라 노출 위험을 줄이기 위해 사용하는 의도적인 전략입니다.